Нужна помощь с чисткой сервера от вирусов! [not-a-virus:NetTool.Win32.Wasppace.l, not-a-virus:Downloader.BAT.Agent.d ]

[pashkalive]

Здравствуйте, очень нужна помощь с чисткой сервера от вирусов, появилась какая то непонятная программа, просканировал комп доктор-вебом, нашел два вируса, удалил, пропала, через 4 часа снова появилась, снова просканировал, нашел этот же вирус удалил.. сейчас пока что программа пропала.. На сервере часто появляются вирусы, хотя доступ в интернет через браузер не используется..

[Info_bot]

Уважаемый(ая) pashkalive, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[pashkalive]

логи можно скачать по ссылке https://yadi.sk/d/VQ3Bj9-JcKKAD

[mike 1]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin    
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 TerminateProcessByName('c:\web\surfguard.exe');
 TerminateProcessByName('c:\web\safesurf.exe');
 TerminateProcessByName('c:\web\ctfmon.exe');
 QuarantineFile('C:\WINDOWS\system\system32\svchost.exe','');
 QuarantineFile('C:\Web\services.exe','');
 QuarantineFile('c:\web\surfguard.exe','');
 QuarantineFile('c:\web\safesurf.exe','');
 QuarantineFile('c:\web\ctfmon.exe','');
 DeleteFile('c:\web\ctfmon.exe','32');
 DeleteFile('c:\web\safesurf.exe','32');
 DeleteFile('c:\web\surfguard.exe','32');
 DeleteFile('C:\Web\services.exe','32');
 DeleteFile('C:\WINDOWS\system\system32\svchost.exe','32');     
 DeleteService('ddns');
 DeleteService('UniInet');     
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузите сервер вручную. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

[pashkalive]

карантин отправил, логи доступны по ссылке https://yadi.sk/d/VQ3Bj9-JcKKAD

[mike 1]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

[pashkalive]

образ сделал, доступен по ссылке https://yadi.sk/d/5FujkzyQcLhQ8

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   
   Код:

   ;uVS v3.84.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv5.2
   v384c
   breg
   
   zoo %SystemDrive%\RECYCLER\WASPPACER.EXE
   delall %SystemDrive%\RECYCLER\WASPPACER.EXE
   zoo %SystemDrive%\RECYCLER\UPDATER.EXE
   delall %SystemDrive%\RECYCLER\UPDATER.EXE
   zoo %SystemDrive%\RECYCLER\UP.BAT
   delall %SystemDrive%\RECYCLER\UP.BAT
   delall %SystemDrive%\PROGRAM FILES\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V4.0\UP.BAT
   delall %SystemDrive%\DOCUMENTS AND SETTINGS\SUB2.SOBES24\LOCAL SETTINGS\APPLICATION DATA\{05AECED9-539B-28C9-CE29-034FADD70D25}\SYSHOST.EXE
   delall %SystemDrive%\WEB\CTFMON.EXE
   delall %SystemRoot%\ADFS\CTFMON.EXE
   delref .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX
   zoo %SystemDrive%\DOCUMENTS AND SETTINGS\BUX\РАБОЧИЙ СТОЛ\NP2010W\ARJ.EXE
   zoo %SystemDrive%\WEB\AS.EXE
   delall %SystemDrive%\WEB\AS.EXE
   zoo %SystemDrive%\WEB\MY.EXE
   delall %SystemDrive%\WEB\MY.EXE
   zoo %SystemDrive%\REGISTR\REGISTR.EXE
   czoo

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер перезагрузите вручную.
6. После выполнения скрипта в папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Установите Internet Explorer 8 (даже если им не пользуетесь)

Сделайте новый лог uVS.

Скачайте Malwarebytes' Anti-Malware, установите (во время установки откажитесь от использования Пробной версии), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

[pashkalive]

логи пришлю завтра, сегодня не могу перезагрузить сервер и explorer поставить, так как сотрудники работают в программе

[pashkalive]

лог uVS по ссылке https://yadi.sk/d/2qaxb5ypcQA5N
Malwarebytes' Anti-Malware установил, но запустить не удалось, выдает ошибку, пробовал удалять и ставить по новой, безуспешно

- - - - -Добавлено - - - - -

снова появились вирусы, просканил прогой доктор веб, нашел 4 вируса, переместил их, сервер подозрительно работает.. некторые програмы не запускаются

- - - - -Добавлено - - - - -

очень нужна помощь, пока еще что нибудь не зашифровалось

[mike 1]

Лог MBAM пытались сделать версией 1.75? У вас там Kido еще ломится.

[pashkalive]

да, версией 1.75, она установилась но при попытке ее запустить вылазила ошибка типа такой как в приложении

[mike 1]

Тогда попробуем так

Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

[pashkalive]

попытки запустить Malwarebytes' Anti-Malware ничего не дали, программа выдает ошибку при запуске, несколько раз переустанавливал, после удаления в папке с программой остается один файл, который не удаляется, пробовал в три разные папки установить, все безуспешно
Скрин 1
Скрин 2

[mike 1]

Сделайте тогда лог Hitman Pro.

1. Запустите программу Hitman Pro, нажмите "Дальше".

2. После окончания сканирования компьютера, нажмите "Сохранить ввод".

3. Программа предложит сохранить лог в файл. Сохраните лог и выложите его в вашей теме.

[pashkalive]

лог Hitman Pro

[mike 1]

Удалите в Hitman Pro только эти записи:

Код:

C : \ D o c u m e n t s a n d S e t t i n g s \ A l l U s e r s \ >:C<5=BK\ >O <C7K:0\ M y P l a y l i s t s \ u p d a t e r . e x e 
C : \ D o c u m e n t s a n d S e t t i n g s \ A l l U s e r s \ >:C<5=BK\ >O <C7K:0\ M y P l a y l i s t s \ W A T a s k T e s t e r . e x e 
C : \ w i n d o w s \ s y s t e m 3 2 \ j e t s . d l l 
C : \ D o c u m e n t s a n d S e t t i n g s \ s u b 3 \ A p p l i c a t i o n D a t a \ M o z i l l a \ F i r e f o x \ P r o f i l e s \ h y y j d u u 1 . d e f a u l t \ c o o k i e s . s q l i t e : y a d r o . r u 

C : \ D o c u m e n t s a n d S e t t i n g s \ s u b 4 \ A p p l i c a t i o n D a t a \ M o z i l l a \ F i r e f o x \ P r o f i l e s \ o p 9 z k w e 7 . d e f a u l t \ c o o k i e s . s q l i t e : s t a t s e . w e b t r e n d s l i v e . c o m 

C : \ D o c u m e n t s a n d S e t t i n g s \ s u b 4 \ A p p l i c a t i o n D a t a \ M o z i l l a \ F i r e f o x \ P r o f i l e s \ o p 9 z k w e 7 . d e f a u l t \ c o o k i e s . s q l i t e : y a d r o . r u

[pashkalive]

удалил, дальше что то нужно делать?

[mike 1]

Что с проблемой?

[pashkalive]

ну сейчас, вроде бы все хорошо..